Um engenheiro de computação fez uma descoberta preocupante no SDK do Discord, que pode afetar a privacidade dos usuários. Ele encontrou uma falha que permite que alguns jogos, como Arc Raiders, armazenem mensagens diretas (DMs) entre jogadores em arquivos de registro sem proteção nenhuma. Timothy Meadows, o engenheiro que revelou a questão, compartilhou suas descobertas em um blog. A boa notícia é que, no momento em que isso foi publicado, a Embark Studios já havia corrigido o problema.
Essa não é a primeira vez que o Discord enfrenta críticas relacionadas à segurança. No final do ano passado, o aplicativo sofreu um ataque de ransomware que exigiu um pagamento de US$ 3,5 milhões (cerca de R$ 18,54 milhões) e resultou no roubo de 70 mil fotos de documentos de identidade. Por isso, essa nova falha na segurança acaba alimentando uma certa desconfiança entre os usuários, especialmente após as críticas recentes sobre suas medidas de reconhecimento facial.
Timothy descobriu que o SDK do Discord utilizado por Arc Raiders estava operando com um token de portador não criptografado, capturando “todos os eventos”. Isso significa que conversas privadas poderiam ficar salvas sem qualquer tipo de proteção no disco rígido do usuário. Para piorar, qualquer pessoa que tivesse acesso a esse token poderia acessar a conta do usuário do Discord, incluindo mensagens diretas, lista de amigos e configurações.
A situação era ainda mais delicada, pois funcionários da Embark Studios poderiam acessar essas credenciais e todas as mensagens registradas. Se Arc Raiders travasse e o usuário enviasse os arquivos de log, as informações privadas estariam vulneráveis.
Para funções simples, como exibir a lista de amigos no jogo, Timothy sugeriu que o jogo usasse um “escopo OAuth limitado”, o que evitaria que mensagens diretas fossem salvas nos arquivos de log. Alguns engenheiros que analisaram a API do Discord acreditam que a falha é, de fato, um problema do próprio Discord.
Felizmente, a Embark Studios já lançou uma atualização para corrigir a falha. A empresa tranquilizou os usuários, afirmando que nenhum dado pessoal ou privado foi enviado para fora dos computadores dos jogadores e que não revisaram nem armazenaram informações pessoais que poderiam ter sido acidentalmente capturadas. Além disso, a Embark desativou completamente o SDK do Discord e está fazendo uma auditoria para garantir que não haja outras falhas.
Para quem está curioso, Arc Raiders pode ser encontrado na Nuuvem por R$ 137,44.